Αποφυγή Autoruns, ή: μην βασίζεστε αποκλειστικά στο Autoruns για ασφάλεια

• Κατηγορία: Παράθυρα

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Επιλέξτε Το Λειτουργικό Σύστημα Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Επιλέξτε Ένα Πρόγραμμα Προβολής (Προαιρετικά) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Περιγράψτε Το Πρόβλημά Σας

Λάβετε Μια Απάντηση

Στείλτε Μου Μέσω Email Εμφάνιση Στον Ιστότοπο

Το Autoruns είναι ένα δημοφιλές πρόγραμμα για τα Windows για την ανάλυση όλων των διαφορετικών αρχείων, προγραμμάτων και άλλων στοιχείων που εκτελούνται κατά την εκκίνηση του συστήματος.

Είναι πιθανώς το πιο χρησιμοποιημένο εργαλείο για το σκοπό αυτό, και περιλαμβάνει πολλές ευχάριστες λειτουργίες όπως σάρωση αρχείων στο Virustotal, απόκρυψη καταχωρίσεων της Microsoft ή διαχείριση αρχείων αυτόματης εκτέλεσης για απενεργοποίηση ή διαγραφή στοιχείων απευθείας από το πρόγραμμα.

Αποφυγή Autoruns είναι ένα ερευνητικό έγγραφο των Kyle Hanslovan και Chris Bisnett από το Huntress, το οποίο αποκαλύπτει πολλές μεθόδους αποφυγής που θα μπορούσαν να χρησιμοποιήσουν οι κακόβουλοι χρήστες για να κρύψουν δραστηριότητες στον υπολογιστή ή σε ένα δίκτυο.

Οι ερευνητές αποκαλύπτουν πολλές μεθόδους που οι εισβολείς μπορούν να χρησιμοποιήσουν για να κρύψουν τη δραστηριότητά τους. Για παράδειγμα, οι ένθετες εντολές μπορούν να χρησιμοποιηθούν για την εκτέλεση πολλαπλών προγραμμάτων χρησιμοποιώντας ένα μόνο στοιχείο εκκίνησης. Αυτές οι εντολές, π.χ. &&, & ή || συνδυάστε μία ή περισσότερες εντολές, συνήθως προσθέτοντας μια κακόβουλη εντολή μετά από μια νόμιμη εντολή.

Ένα από τα ζητήματα που προκύπτουν στο Autoruns είναι ότι πολλοί χρήστες έχουν ρυθμίσει το πρόγραμμα ώστε να αποκρύπτουν τις καταχωρίσεις της Microsoft καθώς θεωρούνται αποθηκευμένες από πολλούς. Το πρόβλημα είναι ότι η απόκρυψη καταχωρίσεων της Microsoft ενδέχεται να αποκρύψει αυτές τις δομές εντολών.

Άλλες τεχνικές που περιγράφουν οι ερευνητές ασφάλειας είναι:

• Κατευθύνσεις Shell32.dll
• Παραβίαση DLL
• SyncAppvPublishingService
• Σφάλμα DLL υπηρεσίας
• Σφάλμα παραγγελίας επέκτασης αναζήτησης
• Παραβίαση SIP
• Σενάρια .INF

Οι ερευνητές καταλήγουν στο συμπέρασμα ότι το Autoruns είναι ένα εξαιρετικό εργαλείο για την απαρίθμηση προγραμμάτων και αρχείων εκκίνησης, αλλά ότι δεν είναι εργαλείο ασφάλειας.

Προτείνουν ότι οι διαχειριστές και οι χρήστες το χρησιμοποιούν για να απαριθμήσουν τα δεδομένα και ότι αναλύουν τα δεδομένα που συλλέγει το εργαλείο χρησιμοποιώντας άλλα μέσα. Οι επιτιθέμενοι θα χρησιμοποιήσουν αυτές τις τεχνικές και πιο περίπλοκες για να αποφύγουν την ανίχνευση στο Autoruns.

Όσον αφορά τα πράγματα που μπορείτε να κάνετε για να κάνετε πιο δύσκολο για τους επιτιθέμενους να κρύψουν κάτι, τα ακόλουθα είναι χρήσιμα:

1. Μην κρύβετε καταχωρίσεις Microsoft και Windows στο Autoruns. Μπορείτε να βρείτε την επιλογή στην περιοχή Επιλογές> Απόκρυψη καταχωρίσεων Microsoft και Επιλογές> Απόκρυψη καταχωρήσεων των Windows. Αυτό εμφανίζει περισσότερα δεδομένα, αλλά είναι σημαντικό να τα δείτε από άποψη ασφάλειας.
2. Ενεργοποιήστε τις επιλογές 'επαλήθευση υπογραφών κώδικα' και 'ελέγξτε virustotal.com' στις Επιλογές> Επιλογές σάρωσης.
3. Ελέγξτε τυχόν καταχωρήσεις cmd.exe, pcalua ή SyncAppvPublishingService.
4. Πηγαίνετε σε όλες τις καταχωρίσεις και αναζητήστε ένθετες εντολές (μπορεί να είναι ευκολότερο να χρησιμοποιήσετε τις επιλογές γραμμής εντολών για να απαριθμήσετε όλες και να χρησιμοποιήσετε λειτουργίες εύρεσης για να περάσετε από τη λίστα)

Τώρα εσύ : πώς απαριθμείτε τα στοιχεία αυτόματης εκτέλεσης και τα ελέγχετε; (μέσω Επιτραπέζιος σχεδιαστής , Τεχνέτ )